T26: LAN - Japan Network Information Center - JPNIC ifconfig eth1 up 6 IW2005 2005/12/09 Copyright © 2005, Motonori Shindo, All Rights Reserved. 11 無線LANキセル乗車どうってことない？{自宅のブロードバンドはすかすかだから、少しく

1

T26: 間違いだらけの無線LANセキュリティー

進藤　資訓ファイブ・フロント(株)

Chief Technology [email protected]

IW2005 2005/12/09 Copyright ©　2005, Motonori Shindo, All Rights Reserved. 2

ある先生の採点方法

もちろん正解は “加点”もちろん不正解は “加点なし”しかし、あまりに大きな誤解を含んだ答えや、あまりにあてずっぽの答え(too wildly guessed answer)は “減点”！

「自分が理解していない事」を理解することも大切！！

2


無線LANのセキュリティー

SSIDの秘匿MACアドレスの制限WEP802.1XWPAWPA2 / 802.11i…


SSIDを隠す！？

何をしているか？802.11 のビーコンを止めるプローブリクエストに対して、応答しない

応答はするが、レスポンスに SSID は入れない自分の SSID に合致する場合のみ応答

呼び名もいろいろステルス機能、SSID ブロードキャストの無効化、Any拒否、Closed System or Network、等々

3


確かにWindowsからは見えない


NetStumblerでも見えない

4


でも Kismet なら見える ! !

秘匿されたSSID


なぜ見える？

802.11では、SSIDを完全に隠すのは不可能アソシエーションする際に必ず SSID は必要！

無線LANを “モニタ”すれば見えてしまう

5


MAC アドレス認証

何をしている？クライアントが接続してくるときのMACアドレスを調べ、許可されていないものなら受け付けないようにする

実現方法AP に静的に設定するRADIUS 等のサーバーに設定する


「固有」じゃないのよ、MACアドレスはMAC アドレスの詐称は簡単！正規のMAC アドレスはワイヤレス上で簡単に見つけることができる！

# ifconfig eth1 down# ifconfig eth1 hw ether 12:34:56:aa:bb:cc# ifconfig eth1 up

6


無線LANキセル乗車

どうってことない？

自宅のブロードバンドはすかすかだから、少しくらい使われたからって・・・・・


ついに起きたか・・・

他人の無線ＬＡＮ盗用…不正アクセスで逮捕の大学職員

（読売新聞：04/06/09より）　高千穂大学（東京都杉並区）のコンピューターシステムへの不正アクセス事件で逮捕された大職員が、調布市内の会社役員（３３）が家庭で使っている無線ＬＡＮ（構内情報通信網）に”ただ乗り”して、不正アクセスしていたことが９日、警視庁の調べでわかった。　パソコン通信で使われる無線ＬＡＮは、第三者に電波を“盗用”される恐れがあると指摘されていたが、実際に不正アクセスへの悪用が表面化するのは異例。事態を重視した警視庁は、無線ＬＡＮの危険性について注意を呼びかける。　調べによると、不正アクセス禁止法違反容疑で逮捕された同大職員中山良一容疑者（４７）は昨年１１月下旬、車に積んだパソコンを使って、無断使用防止対策が講じられていない無線ＬＡＮ用電波を物色。　東京・調布市の住宅街で、会社役員宅の電波が無断で使えるのを発見した中山容疑者は、近くに車を止め、会社役員の無線ＬＡＮに“ただ乗り”してインターネットに接続。他人のＩＤとパスワードを使い、同大のコンピューターシステムにアクセスしたという。（以下略）

7


WEP (Wired Equivalent Privacy)

何をしている？秘匿性 (Confidentiality)完全性 (Integrity)認証 (Authentication)

実際は？What on Earth does this Protect?


WEP 処理

Frame Header FCSData

IV +Key ID

Frame Header FCSData ICV

Frame Header FCSData ICV

RC4 (IV + Key) 　　(Data + ICV)

秘匿性と完全性を同時に実現 ICV の追加ICV = CRC32(Data)

IV = 24bitKey ID = 2bit

暗号文平文平文

8


これ、ほんと？？

WEPには、同じIVで暗号化したフレームを幾つか集めると暗号鍵を解読できるという弱点がある。

（A誌、2003年9月）

ところが、ここに落とし穴があった。IVは24ビットしかなく、連続して通信を行っていると早くて数時間で１巡してしまう。また、無線LANで送信されるパケットの最初の部分はつねに同じパターンが使われているのである。つまり、IVが何巡かするまでパケットを監視しつづけていれば、暗号鍵が解読できてしまうのだ。

（C誌、2004年9月）


誤解と現実

いわゆるIVの衝突（コリジョン）に関する誤解ストーリーとしては分かりやすい

i.e. 「24ビットは短すぎたので、WPAでは48ビットにしたのさ！　だからWPAは安全なのよ。」

実際は、IVが衝突しても壊滅的（e.g. WEP鍵を解き明かす）なことが起こるわけではない

ただ、衝突はできる限り起こらないほうが望ましい

9


Stream Cipher

Ｉ love you Ｉ love you

PRNG Key = K

Ki

Pi

!3ak#90

Ci

Pi

Ki

Property 2: If C1 = P1 Ka and C2 = P2 KaThen C1 C2 = (P1 Ka) (P2 Ka) = P1 P2

Property 2: If C1 = P1 Ka and C2 = P2 KaThen C1 C2 = (P1 Ka) (P2 Ka) = P1 P2

Property 1: If Ci = Pi Ki Then Pi Ci = KiProperty 1: If Ci = Pi Ki Then Pi Ci = Ki

PRNGKey = K


同じIVを使うと何が起こるか？

WEP鍵は変わらない（前提）同じIVを使うと、同じキーストリーム(KS)が生成される

(M1 KS) (M2 KS) = M1 M2M1がわかるわけでもなければM2がわかるわけ

でもない

ましてやWEPキーがわかるわけではない多少、M1やM2に関する情報は得られる

10


本当の脅威　～ FMS 攻撃～

S. Fluhrer, I. Mantin, A. Shamir, Aug. 2001Key Recovery 攻撃条件生成される RC4 stream の最初のバイトが判っていて、IV がある種の条件を満たす場合、Key Byte を5%の確率でguessできる

代表的Weak IV: (B+3, 0xff, N)

key の長さに比例しかしない！4,000,000 ～ 6,000,000 パケットで 40bit WEP を解読できる

更なる最適化で 1,000,000 パケット程度で解読可能5Mbps, 200 bytes/packet で、3125 秒


WEP Cracking Tools

AirSnorthttp://airsnort.shmoo.com

bsd-airtools (dwepcrack)http://dachb0den.com/projects/bsd-airtools.html

11


多くの人は・・・

多くの人は、以下の二つの問題：IVが比較的簡単に一巡してしまうWeak IVを使って暗号化されたフレームを沢山集めるとWEP鍵をリカバーできてしまう

をゴッチャに理解している！


ほんと？？

さらに、WEPが利用しているRC4と呼ぶ関数では256バイトごとにRC4ストリームが初期化される。つまり、一つの電文内でN + (256 × c) バイト目（ただし c ≧ 0）は同じ値のキーストリームで暗号化されているのだ。従って、これらの内の1バイトでも分かれば他のバイトもすべて割り出せてしまう。

（D誌、2003年4月）

12


もちろん

そんなことはない！

もし、そんなことになっていたら怖くてインターネットショッピングなんてできない

SSL 保護つき（128ビット）

SSL 保護つき　（128ビット）


RC4 は脆弱か？

若干の脆弱性はあるが、一般的にはほとんど問題ない

WEP が脆弱なのは RC4 の使い方を少々間違えたからである

RC4 を正しく使えば安全セッション毎に（相関関係の無いように）キーを変える例） SSL / TLS

最初の数百バイト（例えば 256 バイト）を捨てる例） GTK over EAPOL

13


なぜWEP 鍵は4つあるの？

多くのアクセスポイントはWEP 鍵を4つ設定することができる

1つでも動くの？4つ設定したほうがより安全？


答：　鍵の変更をしやすくするため

1: “abcde”

2: “vwxyz”

1: “abcde”

2: “vwxyz”

クライアントアクセスポイント

1) クライアント、アクセスポイント共に 1: “abcde” で通信している。2) アクセスポイントに 2: “vwxyz” を追加（ただし、まだ、アクティブな鍵は 1: のまま）。

3) クライアントに 2: “vwxyz” を追加し、アクティブな鍵を 2: に変更。4) 全てのクライアントで 3) までの設定が終了したら、アクセスポイントのアクティブな鍵を 2: に変更。

5) アクセスポイント＆全てのクライアントが 2: “vwxyz” で通信しているので、鍵 1: “abcde” を削除（この時点で鍵 1: “abcde”から鍵2: “vwxyz”への変更が完了！

アクティブアクティブ

14


アクセスポイントでの認証


802.11 の認証

APSTA

Auth-Req Seq#1

Auth-Chal Seq#2

Auth-Result Seq#4

WEP を使う！AP は Challenge (128bytes) を送出

STA はそれをWEP で暗号化して AP へ送るAP はそのフレームの整合性をチェック

Auth-Resp Seq#3 WEPでの暗号化

15


こらあかん・・・APSTA

Auth-Req Seq#1

Auth-Chal Seq#2

Auth-Resp Seq#3

悪意のあるSTA

Auth-Req Seq#1

Auth-Chal Seq#2

Auth-Resp Seq#3Auth-Result Seq#4

Success!

Auth-Result Seq#4

Success!!

IVIV

IVIV

Key Stream


結論

“する（シェアードキー認証）” より “しない（オープン認証）”ほうが安全！WPA / 802.11i ではオープン認証を使うことになっている

16


WEP おさらい

何をしていた？秘匿性 (Confidentiality)完全性 (Integrity)認証 (Authentication)

実際にWhat on Earth does this Protect?


WPA の目標

暗号的脆弱性の排除

ユーザーベースの認証

鍵の配布をサポートすること

動的なユーザー・セッション・パケット毎の鍵を使用

認証サーバーを強要しないこと

2003年中に利用可能になることソフトウェアアップグレード可能

17


WPA (Wi-Fi Protected Access)

802.11i のサブセット認証

802.1X + EAP

秘匿性（暗号化）802.1X 動的鍵配布TKIP

完全性Message Integrity Check (MIC) “Michael”


WPA ステップ

アソシエーションとケーパビリティーの確認

802.1X 認証と PMK (Pairwise Master Key）の配布

TK (Temporal Key）の導出GK (Group Key）の導出暗号化および整合性チェック

18


アソシエーションとケーパビリティーの確認

Supplicant

Probe RequestProbe Response + RSN IE

Authenticator

802.11 Open Auth Request802.11 Open Auth Response

Association Request + RSN IEAssociation Response (success)


802.1X 認証と PMK の配布

Auth ServerAuthenticatorSupplicant

StartEAP-Req/Identity

Identity

EAP-Success

Supplicant authenticates Auth Server

Auth Server authenticates Supplicant

EAP-Resp/Identity

PMK PMK

19


Temporal Key の導出～ 4 way handshake ～

Supplicant

EAPOL-Key (ANonce)

EAPOL-Key (SNonce, MIC, RSN IE)

Authenticator

EAPOL-Key (ANonce, MIC, RSN IE)

EAPOL-Key (SNonce, MIC)

PMK PMK

ANonceSNonce

Install keys

Install keys

PTK

PTK


Group Key の導出～ 2 way handshake ～

Supplicant

EAPOL-Key (GNonce, MIC, IV, {GTK} )

EAPOL-Key (GNonce, MIC)

Authenticator

GNonce

Install keys

Install keys

GMK

GTK

20


Pairwise Key Hierarchy (for TKIP)Pairwise Master Key

(PMK)256 bits

Pairwise Master Key(PMK)256 bits

Pairwise Transient Key (PTK)512 bits

EAPOL-KeyMIC Key128 bits

EAPOL-KeyEncryption Key

128 bits

Temporal-Key128 bits

Data MIC key128 bits


Group Key Hierarchy (for TKIP)Group Master Key

(GMK)128 bits

Group Master Key(GMK)128 bits

Group Transient Key (GTK)256 bits

Temporal-Key128bits

Data MIC key128bits

21


TKIP (Temporal Key Integrity Protocol)

IV 空間の拡張（24 -> 48 bits)IV シーケンス処理の規定Per-packet-mixing FunctionMichael MIC (Message Integrity Code)


Per-packet-mixing function

Ph#1MixerPh#1Mixer

Ph#2MixerPh#2Mixer

TK

TA

IV32IV16

TTAK

WEPシードIV + RC4 key

80 bits

128 bits

TK: 一時キーTA：送信者MACアドレスIV16: IV下位16ビットIV32: IV上位32ビットTTAK: TKIP mixed Transmit

Address and Key 　

22


PreShared Key (PSK) Mode

RADIUS を使用しない（用意できない）場合を想定ホームユース

802.1X で実現していた部分を手動設定で代替認証

PMK の配布802.1X 以降の動き(4 and 2 way handshake, 鍵の導出、TKIP、等）は non-PSK 時と同様

PMK (256bits) を AP, STA 双方に設定


典型的WPA(TKIP）の説明

TKIPはWEPの暗号化技術をより発展させ、一定時間ごとに自動的に暗号キーが変更されるしくみを持つ。

（B誌、2004年9月）

23


TKIPの設定画面

確かにWPA(TKIP)には鍵の更新間隔に関するパラメータが追加されている！


鍵の更新

鍵を更新するって、どの鍵よ？？PMK?多くの人はこれであると思っているのでは！？

でも、PSKの時だって鍵の更新はできるでしょ！

PTK?4-Wayハンドシェークからやり直しても、変わるのはNonceだけだし。。

TK?PTKから計算で導出されるので、更新するタイミングないし。。

…

24


更新の必要があるのはGroup Key！

GTK

GTK

GTK

GTK

BSS

ブロード/マルチキャスト

GTK

GTK

GTK

GTK


Group Key 更新のタイミング

本来はクライアントがBSSから去ったらGroup Key を更新すべき！しかし、それではオーバーヘッドが大きいので、

一定時間経ったら更新する

一定のパケット数そのGTKを使ったら更新するというのもアリ

25


鍵更新に関する誤解

多くの人は（鍵の安全性劣化を防ぐために）一定時間ごとに鍵（のおおもと=PMK）を更新すると思っている（ハズ）

説明としては分かりやすいFMS攻撃は沢山パケットを集めなければいけない沢山パケットを集められる前に鍵を変えてしまえ！

WPA（TKIP）は一定時間で鍵を更新するので安全しかし、これは802.1Xで既にやっていた（できていた）ことである！


ほんとのところは

WPA（TKIP）の鍵の更新は、鍵の劣化を防ぐためではなく、本質的に必要だから存在する！

しかも、マルチ/ブロードキャストの通信に関連するもので、ユニキャストには無関係。

26


これも・・・

そして、その後はTKIP（Temporal Key Integrity Protocol）という暗号化方式でやり取りする。これは先ほどのWEPとは違い、一定時間ごとに暗号化のための鍵を変更する。

(A誌2004年9月)


これはぎりぎり合格点？

TKIPTemporalの名の通り、一定時間ごとに暗号鍵を変更するプロトコルです。パケットごとの鍵更新、IV鍵の48bit化などにより、従来のWEPが持っていた脆弱性を克服しています。

（ベンダーAのホームページ）

27


かなりの混乱が・・・

WPAの特徴ユーザーパスワード WPA-PSK (Pre-

Shared Key) を128bitとするIV を24bitから48bitとする暗号鍵は WPA-PSK と IV、MAC アドレスからハッシュ値を持って生成する

1万パケット毎に暗号鍵の更新を行う

（Web上の記事A）


IEEE 802.11i

802.11iは2004年6月に正式規格として成立CCMP (Counter-mode with CBC MAC Protocol)

AES が前提TKIP はオプション扱い

その他の部分はほぼWPA と同様だが、若干の機能追加あり

PMK cachingPre-authentication

28


CCMP

Counter-mode CBC-MAC ProtocolAES を “Counter mode” で使用AES で “CBC-MAC” も計算

暗号化と整合性検証を同時に実現する！

RFC 3610


Counter-Mode

復号化も全く同じプロセスで良い並列化可能ランダムアクセス事前に計算しておけるメッセージはブロックサイズに依存しない

Counter 0

E

p0 c0

・・・・

暗号鍵

Counter 1

E

p1 c1

暗号鍵

Counter 2

E

p2 c2

暗号鍵

暗号化だけあればよいAESは暗号化と復号化は異なる

29


CBC-MAC

c0

pnpn

cn (MAC)

・・・・

E暗号鍵

p1p1

E

c1

暗号鍵

p2p2

E

c2

暗号鍵E

暗号鍵

IV

p0p0

初期ブロック


CCMP Encapsulation 処理の流れ

30


WPA2

WPA2 は 802.11i の相互接続性をWiFiAlliance が具体化し、認定するもの

WPA2 で認定されているものは 802.11i に準拠したものとなる

2004年9月から認定作業を開始現在、約50数社が認定をパスしている（Personal & Enterprise）昨年の同時期は10社程度だった

ほとんどの “新”製品はサポート


WEP, TKIP and CCMP

12810440 / 104 / 128暗号鍵の長さ(bits)

ありありなしAnti-Replay-Attack

CCMMichaelなしヘッダ部の完全性

CCMMichaelCRC32データ部の完全性

484824IV の長さ(bits)

6464N / A認証鍵の長さ(bits)

AESRC4RC4暗号化アルゴリズム

CCMPTKIPWEP

31


不正アクセスポイント（Rogue Access Point）

２つのタイプ

きちんと設定されずにネットワーク管理者に無断で設置したアクセスポイント

踏み台になる可能性

正当なアクセスポイントにみせかけ、クライアントを接続させ、情報を入手したり悪意のある行為をおこなう通称 “Evil Twin” （悪魔の双子）


Evil Twin

より強い電波を出すAPを設置新しいクライアントはそちらに associate する

APSTA

Evil Twin APSTA

32


逆 war driving

Evil Twin を搭載した車で、クライアントを “釣りに”行く


何が恐怖か？

通信を傍受されることが恐怖ではない

多くの公衆無線LANサービスでは、接続時に強制ポータルで、ユーザーID / パスワードを求められるユーザーは他でも同じユーザーID / パスワードを使う傾向にある

さらに積極的な攻撃の可能性も悪意のあるコードをダウンロードさせる、etc.

33


お手軽キットも存在する

Airsnarf構成要素

Linux, httpd, dhcp, sendmail, iptables, Perl DNS module

どのように動いているか？自分自身 or 自分配下の AP に associate させて、dhcp で IP アドレス、DNS サーバー、デフォルト・ゲートウェイを割り当て、

どの URL も自分に resolve するようにし、自分の httpd （強制ポータルページ）に接続させ、ユーザーID / パスワードを入れさせ、それをメールで管理者に通知する！


Evil Twin 攻撃をどのように防ぐか

802.1X で、きちんとした認証を行うほんとうに十分だろうか?

それが出来ない場合は、ユーザーが最大限の注意を払う前回のログイン日時に注意する

接続されたAPのMACアドレスを確認見覚えの無いポータル画面に注意する

もう少しクライアント側に工夫があってもよいのではないか？接続 AP の MAC アドレスのホワイトリストSSID の変化AP の MAC アドレスの変化デフォルトゲートウェイの MAC アドレスの変化急激な電波強度の変化

34


さて、

みなさんは100点取れましたか?80点以上なら合格です！60点以下の場合は補習です！（ウソ）正しく理解することは、そう難しい事ではない

“知らない/理解していない” ことを知ることが大切！

伝える側の責任＆伝えられる側の好奇心


略語一覧AES Advanced Encryption StandardAP Access PointCBC Cipher Block ChainingCCMP Counter-mode CBC MAC ProtocolCFB Cipher FeedbackCRC32 Cyclic Redundancy Check 32bitsDoS Denial of ServiceEAP Extensible Authentication ProtocolEAPOL EAP over LANECB Electronic Code BookESS Extended Service SetFCS Frame Check SumGK Group KeyGMK Group Master KeyICV Integrity Check ValueIE Information ElementIV Initialization VectorLCG Linear Congruential GeneratorLEAP Lightweight EAPMAC Message Authentication CodeMD5 Message Digest 5MIC Message Integrity CodeOFB Output FeedbackPAE Port Authentication EntityPBKDF Password-Based Key Derivation

FunctionPEAP Protected EAP

PKCS Public Key Cryptographic Standard

PMK Pairwise Master KeyPPP Point-to-Point ProtocolPRF Pseudo Random FunctionPRNG Pseudo Random Number

GeneratorPSK PreShared KeyPTK Pairwise Transient KeyRADIUS Remote Access Dial-Up SystemRC4 Rivest Code (or Cipher) 4RSN Remote Secure NetworkSHA1 Secure Hash Algorithm 1SSID Service Set IdentifierSTA Station (client)TA Transmit (MAC) AddressTK Temporal KeyTKIP Temporal Key Integrity ProtocolTLS Transport Layer SecurityTTAK TKIP-mixed Transmit Address

and KeyTTLS Tunneled TLSWEP Wired Equivalent PrivacyWPA Wi-Fi Protected AccessWRAP Wireless Robust Authenticated

ProtocolXOR Exclusive OR

Documents

T26: LAN - Japan Network Information Center - JPNIC ifconfig eth1 up 6 IW2005 2005/12/09 Copyright © 2005, Motonori Shindo, All Rights Reserved. 11 無線LANキセル乗車 どうってことない？{自宅のブロードバンドはすかすかだから、少しく

T26: LAN - Japan Network Information Center - JPNIC ifconfig eth1 up 6 IW2005 2005/12/09 Copyright © 2005, Motonori Shindo, All Rights Reserved. 11 無線LANキセル乗車どうってことない？{自宅のブロードバンドはすかすかだから、少しく